K04/K8s 보안 강화 - 정책 시행

K8s OWASP Top 10 - K04: Policy Enforcement
이민석's avatar
Nov 30, 2024
K04/K8s 보안 강화 - 정책 시행

OWASP(Open Web Application Security Project)은
인터넷 세상에서 발생가능한 가장 중요한 보안 취약점을 정리한 문서입니다.

Overview

K8s에 대한 OWASP TOP 10 보안 위협 중 4번째인 정책 시행(Policy Enforcement)에 대해서 다루고자 합니다.

K04: Policy Enforcement

차단 허용 제어 정책(Blocking Admission Control Policy)을 통해서
클러스터에서 악성 이미지 실행을 방지하는 K8sAllowedRepos를 사용 가능합니다.

# Allowed repos
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAllowedRepos
metadata:
  name: allowed-repos
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
    namespaces:
      - "sbx"
      - "prd"
  parameters:
    repos:
      - "open-policy-agent"
      - "ubuntu"

추가적으로 잘못 구성된 오브젝트가 허용될 때, Admission Controller[T1], Pod Security Admission Controller[T2]로 차단할 수 있습니다.
이런 도구에서는 오픈 소스인 OPA[T3], Kyverno[T4], Kubewarden[T5]과 같은 OSS 프로젝트를 활용할 수 있습니다.

회사에서 최근에 FileSystem, Application Code CVE, IaC Config 등을 확인[P1]하고자 Trivy를 도입[P2]하고 적용 중에 있는데, 관련해서 Kyverno를 통해서 클러스터 환경을 더욱 견고하게 만들 수 있으면 좋을 것 같습니다.

Post. Ref.

Tech. Ref.

OWASP. Ref.

Share article

Unchaptered